Vi overvejer ofte “hvordan vi forsvarer os selv” mod cybertrusler og -angreb, når vi diskuterer cybersikkerhed.
Det handler om, hvad man skal gøre for at holde tingene sikre, og hvad man skal gøre, når tingene går sydpå. Men hvordan ved man, at de vil blive målrettet? Hvad vil de blive angrebet for? Hvor meget koster det at få organisationen på fode igen efter et cyberangreb?
En cybersikkerhedsrisikovurdering kan besvare alle disse spørgsmål. Derfor er vurderingen en af de afgørende ting, når man udarbejder en cybersikkerhedsstrategi.
Indholdsfortegnelse
Hvad er cybersikkerhedsrisikovurdering?
En cybersikkerhedsrisikovurdering er en proces, der hjælper med at tilpasse en organisations cybersikkerhedsplan med dens forretningsmål og -mål. Det hjælper også med at forstå målene bedre og evaluere de tilgængelige/nødvendige aktiver for at holde tingene flydende.
Vurderingsrapporten vil teknisk dække alle mulige ting for dets cybersikkerhedsspil. Det kan også øge organisationens cyberresiliens.
Lige fra truslerne til aktivværdi og forsikringsdækninger. Alle disse oplysninger skal hjælpe interessenterne og administrationen til at træffe en informeret beslutning, når der er risiko for et cyberangreb (eller efter hændelsen).
Betydningen af risikovurdering i cybersikkerhed
Med en risikovurdering får du et trusselslayout, der hjælper dig med at kende chancerne for at blive angrebet, det potentielle mål for ondsindede aktører mod din organisation og den skade, det vil gøre.
Du er ikke begrænset til typerne af trusler mod din organisation, men du er også opmærksom på, hvad de kan gøre, og hvordan det vil påvirke organisationen.
Så det giver dig hele billedet af, hvad du kan gøre i tilfælde af et vellykket cyberangreb mod din virksomhed.
Med andre ord får cybersikkerhedsrisikovurderingen dig til at indse graden af risiko forbundet med et cyberangreb. Og dette hjælper organisationen, dens interessenter og enhver af de ansvarlige kolleger i organisationen med at forberede sig på at minimere risikoen og have en solid plan for alt.
Typer af risikovurderinger
Mens trinene til cybersikkerhedsrisikovurderinger for det meste forbliver standard, er typerne af vurderinger forskellige.
Vurderingstypen fortæller dig, hvad organisationen præcist fokuserer på for at evaluere sikkerhedsbehovene for sin virksomhed.
#1. Generisk vurdering
En spørgeskemabaseret vurdering omhandler enkle, men effektive ting, der reducerer sikkerhedsrisici.
For eksempel status for adgangskodepolitikken, typen af implementeret firewall, almindelige sikkerhedsrettelser og autentificerings-/krypteringspolitikker.
Selvom dette kan være ligetil og problemfrit, passer det måske ikke til alle slags organisationer. Dette kunne passe til en organisation med begrænsede aktiver og mindre følsomme data.
#2. Kvalitativ risikovurdering
Kvalitativ risikovurdering kunne være lidt spekulativ, da det afhænger af, hvem (en enkeltperson eller en gruppe mennesker) gennemgår og tjekker baggrunden for at diskutere ting som databrud og økonomiske risici.
Det involverer ikke en særlig rapport, men mere en “brainstorming”-session for de personer på øverste niveau, der er ansvarlige for organisationen.
#3. Kvantitativ risikovurdering
Når vi overvejer kvantitativ vurdering, beskæftiger vi os med data og indsigt og beregner risikoen.
Denne vurdering vil hjælpe med at dække en lang række ting for større organisationer, hvor den økonomiske risiko er højere, og dataaktiver er større og mere værdifulde.
#4. Stedspecifik risikovurdering
Stedspecifik risikovurdering fokuserer kun på én use case. Uanset om det drejer sig om en del af organisationen eller et bestemt sted, kan du overveje denne type vurdering nichespecifik.
Den evaluerer kun et bestemt netværk, en teknologi og lignende statiske ting. Du kan ikke forvente, at dette er nyttigt for resten af organisationen.
#5. Dynamisk risikovurdering
Dynamisk risikovurdering konfronterer de risici, der ændrer sig i realtid.
For at det skal være effektivt, skal organisationen overvåge og tackle trusler/angreb, efterhånden som de sker.
Trin til at udføre en cybersikkerhedsrisikovurdering
Trinene til at udføre vurderingen afhænger af organisationen og de ressourcer, de har til at få det til at ske.
Selvom det er næsten det samme, kan der findes et par tweaks for forskellige organisationer. For eksempel antallet af trin og hvordan de kategoriserer og prioriterer hvert trin.
Her diskuterer vi de ni trin, der giver os mulighed for at tackle alle de små detaljer, som skulle hjælpe dig med at foretage en korrekt vurdering af cybersikkerhedsrisikoen.
#1. Identificer dine aktiver
Det er afgørende at identificere aktiverne i din organisation og bør prioriteres.
Aktiver kan omfatte hardware (bærbare computere, telefoner, USB-drev), software (gratis eller licenseret), filer, PDF-dokumenter, infrastruktur til elektricitet og andre som papirdokumenter.
En gang imellem skal du muligvis inkludere de onlinetjenester, som organisationerne er afhængige af, som et af aktiverne, fordi de indirekte/direkte påvirker nogle af organisationens drift.
For eksempel cloud storage-løsningen, som du bruger til at gemme dokumenter.
#2. Identificer dine trusler
I henhold til dine aktiver kan du identificere de potentielle trusler, der ville være forbundet med dem.
Men hvordan gør man det? Den nemmeste måde er at følge med i trends og nyheder om cybertrusler. Så en organisation kan være opmærksom på alt på overfladen.
Dernæst kan de bruge trusselsbiblioteker, vidensbaser og ressourcer fra regeringen eller sikkerhedsagenturer til at lære om alle former for cybertrusler.
I sidste ende kan du også tage hjælp af rammer som cyber kill chain for at evaluere, hvilke skridt du skal tage for at beskytte dine aktiver mod disse trusler.
#3. Vurder dine sårbarheder
Nu hvor du kender dine aktiver og deres potentielle trusler, hvordan kan en angriber så få adgang til dem?
Hvis dine enheder, netværk eller ethvert aktiv har sårbarheder, kan det selvfølgelig lade en ondsindet aktør udnytte det til at få uautoriseret adgang.
Sårbarhederne kan være med et operativsystem på en bærbar computer, en telefon, et firmaportalwebsted eller en onlinekonto. Alt kan åbne op for sårbarheder. Selv en simpel adgangskode, der er nem at bryde, tæller som en sårbarhed.
Du kan henvise til regeringen udnyttede sårbarheder katalog for at udforske mere.
Samlet set, uanset om det er noget inde fra systemet eller noget udefra, kan sårbarheder være hvor som helst. Så det burde hjælpe at tage foranstaltninger til at eliminere almindelige/kendte sårbarheder.
#4. Beregn din risiko
Risikoen beregnes ud fra aktivets trussel, sårbarhed og værdi.
Risiko = Trussel x Sårbarhed x Værdi
Når du vurderer risiko, henviser det til sandsynligheden for, at en trussel påvirker organisationen.
Det er ingen raketvidenskab, at jo højere sandsynlighed, jo højere risiko. Men det kan ikke forudsiges præcist, fordi trusselslandskabet konstant ændrer sig.
Så risikoniveauet bør beregnes i stedet, hvilket siger, hvor stor risikoen er – hvis noget bliver udnyttet. Niveauet kan bestemmes ved at diskutere, hvilket aktiv der er mere værdifuldt, og hvis det samme aktiv bliver kompromitteret eller stjålet, hvilken indflydelse ville det have på organisationen?
Dette kan variere mellem organisationer. For eksempel kan en PDF-fil for en bestemt virksomhed være offentligt tilgængelig information, og for andre kan den være yderst fortrolig.
#5. Prioriter dine risici
Når du har målt risikoniveauerne, er det nemt at prioritere dem.
Hvad skal du fokusere på at beskytte først? Den type angreb, der er mere sandsynligt, og det angreb, der kan forårsage mest skade, ikke?
Som alt andet kan det være subjektivt. Men hvis du kan kategorisere risiciene, kan du have en prioriteret rækkefølge for dem.
Det kan være en af følgende:
- Du prioriterer risiciene efter værdien forbundet med dem.
- Filtrer risiciene ned baseret på hardware, software og andre eksterne faktorer som dine leverandører, forsendelsestjenester osv.
- Filtrer risiciene ved at forudsige den fremtidige fremgangsmåde, hvis en bestemt risiko bliver en realitet.
Tillad mig at præcisere de tre punkter her:
Hvis en risiko vurderes til $1 million, har en anden risiko en værdi på $1 milliard. Det sidste sættes der selvfølgelig mere fokus på.
Dernæst, hvis dine forretningsmål afhænger af hardwaren snarere end eksterne faktorer, prioriterer du dem mere.
Tilsvarende, hvis en bestemt risiko kræver en stor virksomhed, bør det have en højere prioritet.
#6. Implementer kontrol
Når vi diskuterer implementering af kontroller, henviser det til de sikkerhedsforanstaltninger, der hjælper med at styre risiciene.
Kontrollerne kan hjælpe med at reducere risikoen og nogle gange eliminere dem.
Uanset om det handler om at håndhæve adgangskontrol, en streng adgangskodepolitik eller en firewall, hjælper alle foranstaltninger dig med at styre risikoen.
#7. Overvåg og forbedre
Alle aktiver, sårbarhedsrettelser og potentielle risici skal overvåges for at identificere ethvert rum til forbedring.
I betragtning af, at cybersikkerhedstrusler udvikler sig og kan ende med at besejre en solid sikkerhedsstrategi, er det vigtigt, at alt beredskab bliver gennemgået regelmæssigt.
Ja, sikkerhedsrevisioner hjælper, men man kan ikke stoppe overvågningen efter at have haft gode resultater i en revision.
Hvis du ikke overvåger, sænker du din vagt mod cybertrusler.
#8. Overholdelse og regler
Mens udførelse af en cybersikkerhedsvurdering naturligvis får din organisation til at overholde specifikke standarder og love, vil du måske tjekke mere om det.
Du bør ikke foretage din vurdering i henhold til et overholdelseskrav, i stedet for at foretage vurderingen og derefter foretage justeringer for at opfylde overholdelseskravene, så du kan arbejde uden at bryde nogen love eller standarder.
For eksempel er HIPAA-overholdelse nødvendig, hvis din organisation beskæftiger sig med sundhedsoplysninger i USA.
Du kan udforske de regulatoriske krav i din virksomheds/organisations geografiske placering og derefter arbejde på dem.
#9. Løbende forbedringer
Uanset hvor gode foranstaltningerne, kontrollerne og trusselsforskningen er – det bunder altid i konstante bestræbelser på at forbedre dem.
Hvis en organisation ikke ønsker at revurdere, forbedre eller foretage subtile ændringer for at rette/forbedre ting, kan cybersikkerhedsstrategien mislykkes hurtigere end forventet.
Cybersikkerhedsrisikovurdering er afgørende
Cybersikkerhedsrisikovurdering er afgørende for alle slags organisationer.
Uanset om den er stor eller lille, er den afhængig af færre onlinetjenester eller mere; det betyder noget. Vurderingen vil hjælpe administratoren, interessenter eller leverandører, der er tilknyttet organisationen, med at kende de nødvendige ressourcer til at holde tingene sikre og være klar til at minimere skader efter ethvert cyberangreb.
Du kan også udforske Cybersikkerhedstjekliste for små og mellemstore virksomheder.
