Riskhantering Àr mer Àn ÄterhÀmtning frÄn en cyberattack. LÀr dig hur riskhantering kan hjÀlpa ditt företag att upptÀcka luckor i sÀkerheten, samt hur du hanterar följderna frÄn en cybersÀkerhetshÀndelse.
Bild: William_Potter, Getty Images/iStockphoto
MÄste lÀsa sÀkerhetstÀckning
Pundits driver riskhantering som vÀgen att gÄ nÀr det gÀller att upprÀtthÄlla cybersÀkerhet. Vid första anblicken kan det tolkas som att ge upp den nuvarande tekniken, men det Àr inte hela bilden.
Riskhantering Àr ett sÀtt att ha allt mÀnskligt möjligt pÄ plats för att minska nedfallet frÄn en cybersÀkerhetshÀndelse, och det Àr bra. En annan lika viktig funktion för riskhantering Àr att den kan betraktas som en proaktiv metodik som anvÀnds för att identifiera risker i en organisations ramverk för cybersÀkerhet.
FöretagsĂ€gare och chefer har vĂ€ldigt olika tankesĂ€tt Ă€n cyberkriminella. TillrĂ€ckliga marginaler och sĂ€nkta kostnader fyller ledarnas dagar. Cyberkriminella Ă€r mycket mer fokuserade â de letar helt enkelt efter sĂ€tt att tjĂ€na pengar illegalt, antingen genom att stjĂ€la lukrativ data och sĂ€lja den, eller genom att pressa ut lösenpengar frĂ„n ett företag genom att kryptera viktiga digitala filer. NĂ€r ingen av parterna tar hĂ€nsyn till den andra hĂ€nder oftast dĂ„liga saker.
SER: Checklista: SÀkerhetsriskbedömning (TechRepublic Premium)
EconoTimes-artikeln “Using Risk Management to Identify Gaps in Cybersecurity” definierar riskhantering som ett proaktivt tĂ€nkesĂ€tt som syftar till att göra det svĂ„rare för cyberkriminella:
“Riskbedömning gör att sĂ€kerhetsteamet kan identifiera hot och risker. Detta gör det möjligt för dem att tĂ€ppa till eventuella luckor och ge ordentlig sĂ€kerhet Ă„t kĂ€nsliga uppgifter. UtvĂ€rderingen tar ocksĂ„ upp efterlevnad och regulatoriska krav för PCI DSS sĂ„vĂ€l som HIPAA.”
Programvara för automatisk skanning
De flesta företag gĂ„r snĂ„lt ekonomiskt och att lĂ„ta en tredjepartsleverantör utföra en riskhanteringsbedömning Ă€r dyrt och begrĂ€nsat i omfattning, enligt artikeln. Artikelförfattaren föreslĂ„r: âFöretag kan vĂ€lja att göra riskbedömningar internt. SaaS-plattformar har gjort detta möjligt genom att erbjuda automatiserade tester, rapporter och övervakning. En av de bĂ€sta metoderna för riskhantering Ă€r anvĂ€ndningen av programvara för automatisk skanning.”
Denna typ av programvara erbjuder följande:
-
Skanningsverktyg som kan upptÀcka risker i företagets nÀtverk, hÄrdvara och databaser;
-
intrÄngs- och attacksimuleringsverktyg; och
-
plattformar för sÄrbarhetsbedömning.
FrĂ„n artikeln: “Verktygen kommer sedan att rapportera problemen som upptĂ€ckts och ge förslag pĂ„ hur man kan bekĂ€mpa dem.” Författaren tillade att nĂ€r man vĂ€ljer ett riskbedömningsverktyg Ă€r det viktigt att övervĂ€ga hur ofta verktyget uppdateras, hur lĂ€tt det Ă€r att agera pĂ„ resultaten och hur vĂ€l verktyget interagerar med andra cybersĂ€kerhetsverktyg.
SER: Skyddspolicy för identitetsstöld (TechRepublic Premium)
Alla avdelningar bör involveras
Det enda sÀttet riskbedömning kommer att fungera Àr om alla avdelningar Àr involverade, sÄvÀl som nyckelpersoner i ledningen.
“Ăven om den hĂ€r processen kan vara tidskrĂ€vande, hoppa inte över den,” skrev författaren till EconoTimes-artikeln och tillade att sĂ€rskild uppmĂ€rksamhet bör Ă€gnas Ă„t avdelningar som direkt arbetar med konsument- och företagsdata.
Hela poÀngen med denna typ av riskhantering Àr att proaktivt identifiera cybersÀkerhetsrisker och ta bort risken om möjligt; om det inte Àr möjligt, utveckla svar som minskar effekten om en cyberattack intrÀffar. Om hur du gör detta, hÀr Àr tips frÄn EconoTimes-artikeln.
Utveckla en kultur: Företag har inte för vana att tÀnka cybersÀkert, och det mÄste Àndras, sa hon. Framför allt mÄste alla anstÀllda köpa in sig i en organisations sÀkerhetskultur.
Utbilda anstĂ€llda: Artikelförfattaren sĂ€ger att cybersĂ€kerhet inte bara Ă€r IT-avdelningens ansvar: All personal mĂ„ste kĂ€nna igen nĂ€r en attack intrĂ€ffar och kĂ€nna till deras roll i att lindra skadan. Författaren tar det ett steg lĂ€ngre och menar att det Ă€r viktigt att varje anstĂ€lld förstĂ„r att en allvarlig cyberattack kan innebĂ€ra förlust av anstĂ€llning om företaget mĂ„ste stĂ€nga sina dörrar. FrĂ„n EconoTimes-artikeln: “Kommunicera dina planer för riskreducering till alla intressenter och hĂ„ll dem involverade.”
Skapa ett ramverk för cybersĂ€kerhet: National Institute of Standards and Testing (NIST) beskriver ett ramverk för cybersĂ€kerhet som “Frivillig vĂ€gledning, baserad pĂ„ befintliga standarder, riktlinjer och praxis för organisationer att bĂ€ttre hantera och minska cybersĂ€kerhetsrisker. Förutom att hjĂ€lpa organisationer att hantera och minska risker, utformades den för att frĂ€mja kommunikation om risk- och cybersĂ€kerhetshantering mellan bĂ„de interna och externa organisatoriska intressenter.â
Författarens artikel sĂ€ger att rĂ€tt ramverk för cybersĂ€kerhet Ă€r viktigt. FrĂ„n artikeln: “Dina standarder kommer att diktera rĂ€tt ramverk. De flesta företag anvĂ€nder PCC DSS, CIS Critical Security Controls och ISO 27001/27002.”
Som en del av detta ramverk bör varje företag skapa en riskbedömningsmatris, inklusive kvantitativa och kvalitativa risköversikter. “UtvĂ€rderingen bör ge dig en detaljerad analys och belysa de risker som sannolikt kommer att uppstĂ„”, sĂ€ger EconoTimes artikelförfattare, som föreslĂ„r interna sĂ„vĂ€l som externa intressenter att involveras i granskningarna.
Minska cybersÀkerhetsrisker
EconoTimes-artikeln ger ett bra argument för att riskhantering Ă€r mer Ă€n hur man Ă„terhĂ€mtar sig frĂ„n en cybersĂ€kerhetshĂ€ndelse â det Ă€r ocksĂ„ ett sĂ€tt att proaktivt minska risken att bli ett cyberoffer. Ju mer du vet om ditt företags risker, desto mer sannolikt Ă€r det att du minskar dem.
