Siber risk, bir iş riski olsa dahi kuruluşunuzun en kritik iş riskine yakın olmayabilir. Numaraları yapın.
Trustwave Şirketi Hivint'in yöneticisi Eric Pinkerton, "Bazı nedenlerden dolayı tüm riskli insanlar uçaklara takıntılıdır" diyor.
Ayrıca bakınız
Fidye yazılımı: Web'deki en büyük tehditlerden birine yönelik yönetici kılavuzu
Fidye yazılımı hakkında bilmeniz gereken her şey: nasıl başladı, neden hızla yayılıyor, ona karşı nasıl korunabilirsiniz ve bilgisayarınıza virüs bulaşırsa ne yapmalısınız?
Şimdi Oku"Uçaklardan, uçak kazalarından ve kara kutu kayıt cihazlarından bahsediyorlar ve ben hiçbir zaman gerçekten anlayamadım tam olarak bu" dedi geçenlerde Avustralya'nın Gold Coast'unda düzenlenen AusCERT Siber Güvenlik Konferansında hafta.
"Bunun risk hakkında düşünme tarzına yol açtığını düşünüyorum... ve bunun pek de doğru olmadığını düşünüyorum."
İşinizi bir uçak olarak düşünmek, riski bir dağ olarak düşündüğünüz anlamına gelir, dedi. Risk dağının etrafından dolaşarak veya üzerinden geçerek kaçınırsınız.
Pinkerton işinizi bir gemi olarak düşünmeyi tercih ediyor. Benzer senaryo, risk uzmanlarının size riski ortadan kaldırmak için geminizi sudan çıkarıp yüksek bir yere koymanız gerektiğini söylemesi olabilir.
"Bir dakika bekle. Eğer teknemi okyanustan çıkarıp yüksek bir yere koyarsam, artık elimde, erişimi berbat olan eğimli bir depo kalıyor" dedi.
"İşletmenizin yaptığı işi yapabilmesi için risklerle sarmalanması gerekiyor ve riski yönetmek sadece onu ortadan kaldırmak anlamına gelmiyor. Bu, can yeleklerini, eğitimi, yolculuğu ve gideceğiniz yolculuk türlerini düşünmekle ilgilidir. sahip olduğunuz geminin türü ve gideceğiniz yolculuk türüne uygun olup olmadığı yapmak."
Pinkerton'un temel mesajı, riskin aslında risk iştahıyla ilgili olduğu ve bunun da ölçüp tanımlamanız gerektiğiydi.
Aşağıdaki gibi araçları kullanarak risklerinizi tanımlamanız ve değerlendirmeniz gerekir: risk matrisi. Bundan sonra, meydana gelen kötü şeyin etkisine karşı azaltma maliyetini analiz ederek her bir riski nasıl ele alacağınıza öncelik vermeniz gerekir.
Bir risk, potansiyel olarak o kadar yıkıcı olabilir ki ancak kuruluşun sigorta şirketlerine bırakılacak kadar olası değildir.
Ya da kötü bir şeyin potansiyel etkisi o kadar küçük olabilir ama hafifletilmesi o kadar maliyetli olabilir ki buna değmez.
Pinkerton, "Risk, kuruluşunuzun karşı karşıya olduğu tüm sorunları bulmak ve düzeltmekle ilgili değildir" dedi.
"Bu, tüm sorunları çözecek zamanınız, paranız veya kaynaklarınız olmadığını kabul etmek ve ardından bir çözüm yaratmakla ilgilidir. savunulabilir konum ve gerekçe - yalnızca yaptığınız şeyler için değil, yapmamaya karar verdiğiniz şeyler için de bazı gerekçeler Yapmak."
Risk aynı zamanda düzeltilmesi gereken çabanın miktarı ve hatta ihtiyaç duyulan zaman dilimi açısından da analiz edilebilir. Kötü şeyin potansiyel etkisi o kadar büyük olmasa da, önce hızlı, alçakta asılı kalan meyvelerle uğraşmaya değer olabilir.
Pinkerton, "Risk iştahı, işletmenizin yaşamının farklı aşamalarında zamanla değişecek bir şeydir" dedi.
Bütün bunlar siber risk altındaki birçok insanı şaşırtıyor.
Pinkerton, "Bir şeyler listesi hazırlıyorlar, alıyorlar, şirket bu konuda hiçbir şey yapmamaya karar veriyor ve bunun kuruluşun riski anlamamasından kaynaklandığını düşünüyorlar" dedi.
"Fakat çoğu zaman bunun nedeni siber insanların organizasyonu anlamaması ve bunu anlamamasıdır. işletmelerin uğraştığı diğer şeyler bağlamında bu riskler aslında yapılması gerekenler listesine girmiyor Yapmak."
Çoğu organizasyonda, kabul edilsin ya da edilmesin, kavramsal noktalı bir çizgi olduğunu söyledi. yaptığınız şeyler ile risk listesine koyduğunuz ve işaretlediğiniz şeyler arasındaki fark kabul edilebilir.
Ancak yine de bir kuruluşun risk iştahının ne olduğu düşüncesi ile uygulamalarının gerçekte ne anlama geldiği arasında genellikle bir eşitsizlik vardır. Kuruluşlar her zaman risk iştahlarının düşük olduğunu söylüyor ancak Pinkerton bunun genellikle çok farklı olduğunu belirtiyor.
"Dostum, son üç yıldır senin sızma raporlarını gördüm. Eğer risk iştahınız bir spor olsaydı çıplak atlama gibi olurdu" dedi.
İşletmeniz siber değil
Siber riskle ilgili başka bir bakış açısı da Victoria eyalet hükümetinin bilgi güvenliği şef yardımcısı (CISO) Shane Moffitt'ten geldi; "siber risk" diye bir şey bile yok.
"İş riskleriniz var veya önemli olmayan şeyler var" dedi.
"Sunucunun çökmesi bir risk değildir. Bir sunucunun çökmesi nedeniyle hizmet verememek bir risktir."
Daha önceki yorumları gibi eğitim stratejisi, kaynakları en fazla etkiyi yaratacakları yere harcamakla ilgilidir.
Pinkerton'un AusCERT sunumu açıkça tavsiye etmediği iki stratejiyi içeriyordu.
İlki, riskleri ortadan kaldırmak isteyen bir müşteriydi.
"Bunun için bize orta düzeyde bir risk verdiniz. Bu ortamı iki düşük seviyeyle değiştirebilir miyiz? Çünkü eğer bu bir araçsa bunu tırmandırmamız gerekiyor ve bu bizim için gerçekten garip bir durum. Pinkerton, "Bunu daha küçük parçalara ayırabilir misiniz?" dedi.
"Olduğunu gördüğüm ve özellikle akıllıca olduğunu düşündüğüm diğer şey, bunu bir proje riski olarak artırmaktı ve sonra proje kapatıldığında ortadan kayboluyor...
"Yani bir sürü at ticareti var, risk yönetimine yönelik tüm bu gizli taktikler var ve bunların eşdeğeri artan risk iştahıdır çünkü bu tutarlılık yoktur. Bazen bir organizasyonun alt kademelerinde maaş notlarının çok ötesinde riskleri kabul eden insanlar oluyor."
Bana göre bir kuruluşun risk iştahı beyanı, rakamlar içermediği sürece gerçek değildir.
Pinkerton'un deneyimine göre bu tür ifadelerin çoğu "annelik beyanları" ve "genel olarak yalnızca PR beyanlarıdır" "kabartmak ve saçmalık", yalnızca düşük riskleri kabul edeceklerini ancak tanımlamayı başaramayacaklarını söyleyen kuruluşlardan mı ibaret? onlara.
Elbette uygun bir beyan, yalnızca belirli bir gerçekleşme şansı olan veya kuruluşların sağlığı üzerinde belirli bir düzeyde etkiye sahip olan riskleri kabul etmek gibi bazı tanımlanmış sınırlar koyacaktır.
İlgili Kapsam
Dijital dönüşüm 10 şirketten 8'i için siber riski artırıyor (TechRepublic)
1E anketine göre kuruluşlar, BT güvenliği ve temel operasyonlardaki boşluklar nedeniyle siber ihlallerle baş etmeye hazır değil.
Avustralya Ulusal Üniversitesi'nin 19 yıllık verileri ihlal edildi
Saldırganlar 2018 sonlarında ANU sistemlerine girdiler ve iki hafta önce keşfedildiler.
İran'ın yeni hackleme aracı Telegram'a sızdırıldı
Yeni İran hackleme aracının adı Jason'dır ve Microsoft Exchange e-posta sunucularına kaba kuvvet uygulamak için kullanılabilir.
Çalışanlar dikkat: Siber güvenlik ihlaline neden olursanız CEO'ların %33'ü sizi kovar (TechRepublic)
Nominent raporuna göre, risklere rağmen iş dünyası liderlerinin %90'ı siber saldırıya karşı savunma yapacak kaynaklara sahip olmadıklarını söyledi.
Kuruluşunuzun çevrimiçi verilerini nasıl korursunuz: 5 ipucu (TechRepublic)
Digital Shadows raporuna göre, SMB, FTP ve diğer dosya depolama teknolojilerinin yanlış kullanımı, geçtiğimiz yıl dünya çapında 2,3 milyar çevrimiçi dosyayı açığa çıkardı.