CISO по целия свят се сблъскват с предизвикателството да определят количествено нивото на киберриска в организацията си, за да получат подкрепа за сигурността на ниво управителен съвет, но как изглежда това на практика?
В разговор с ITPro Тим Гривсън, SVP и глобален съветник по киберрисковете в Bitsight, който е сред най-добрите CSO за 2023 г., съобщи, че по време на пътуванията си, когато е говорил с CISO по целия свят, е установил, че новите разпоредби относно киберустойчивостта карат лидерите по сигурността да управляват киберрисковете си по различен начин.
„Грижа се за Bitsight от глобална гледна точка, т.е. за EMEA, APAC и САЩ, и едно от нещата, които със сигурност движат мисленето на [CISO], са планините от регулации, които се появяват, независимо дали става въпрос за NIS2 в Европа, SOC 2 в САЩ, киберзакона в Сингапур или Австралия.“
Но Гривсън каза, че това поражда нови предизвикателства относно начина, по който тези ръководители могат да съберат различните заплахи, пред които е изправена тяхната организация, в единна метрика, която след това може да се използва за съобщаване на риска както на управителните съвети, така и на одиторите.
„Предизвикателството, пред което са изправени CISO и главните отговорници по риска, е количественото определяне на техния риск във финансово изражение. Да разберат каква е повърхността на атаката, какво покриват вътрешно и външно, но също и във веригата за доставки.“
Организациите са доста добри в разбирането и подобряването на своята позиция по отношение на сигурността, отбеляза Гривсън, но нарастващите проблеми, като например атаките по веригата на доставки или масовото използване на уязвимости в крайни устройства, правят тази задача много по-сложна.
„Това, което забелязах, е, че [организациите] са склонни да се грижат за себе си наистина добре, но веригата на доставките сякаш следва темпото и не е съвсем на ниво по отношение на разбирането на това какви са активите, какви са договорите, какви са рисковете и количественото им определяне в разбираем за бизнеса вид.“
Гривсън разкри, че при срещи с редица CISO в региона на AIPAC разговорът бързо се е насочил към възходящата тенденция на високопрофилни инциденти със сигурността, причинени от използването на уязвимости в доставчиците на организацията от трети или дори четвърти страни.
„Започнахме да говорим за управление на риска от трети страни, управление на веригата за доставки, риск за хората и как това се обединява, за да бъде цялостен поглед в сигурността? Защото, ако не разбирате активите си, как бихте могли да ги приоритизирате, как след това да ги ограничите и как всъщност да определите количествено този риск за вашия бизнес?“
Първото нещо, което трябва да се промени, твърди Гривсън, е този наследен начин на мислене за сигурността на периметъра, който е недостатъчен в един все по-взаимосвързан цифров свят.
Определянето на приоритетите е мястото, където много организации се провалят при намаляването на киберриска
Първата част от този пъзел е видимостта, отбеляза Гривсън, заявявайки, че ако предприятията не разбират с какво разполагат по отношение на инструментите и услугите, които съставляват тяхната повърхност за атака, те неизбежно няма да успеят да идентифицират къде могат да бъдат изложени на риск чрез някоя от своите партньорски организации, доставчици или клиенти.
Компаниите могат да правят годишна оценка, но уязвимостите се появяват постоянно. Необходимо е да се прави непрекъсната оценка, непрекъснат мониторинг, оценки за включване в системата, както и да се прави годишна оценка. Ако не правите непрекъснати оценки, може да пропуснете нещо, защото го правите само през 12 месеца, а не постоянно.“
След като организациите разполагат с това ниво на видимост, възможността да определят какво да смекчат и кога се превръща в следващото предизвикателство за лидерите в областта на сигурността.
Умората от предупрежденията“ е често срещано явление в сектора на сигурността и опитите да се държи сметка за разрастващите се повърхности на атаки, като се приоритизират проблемите, на които трябва да се обърне внимание, ще стават все по-важни, твърди Гривсън.
Той отбеляза, че всеки бизнес има определено ниво на риск, което е готов да понесе, а определянето на този риск е упражнение за определяне на приоритети и преценка кои услуги са от съществено значение за бизнеса.
„Начинът да го определите е наистина да проведете диалог с ръководството си за това кои са важните активи или услуги, които предоставяте? Каква е стойността им? Това е мястото, където много организации се провалят, те не разбират какво имат по отношение на тази повърхност за атаки и са склонни да изглеждат много изолирани“.
След като бъдат идентифицирани критичните активи на организацията, ръководителите по сигурността ще трябва да определят приоритетите си по отношение на заплахите, на които да обърнат първо внимание, като според Гривсън това е въпрос на въздействие и вероятност.
Той обяснява, че това включва финансовите и времевите разходи за предприемане на мерки за смекчаване на последиците, както и нивото на риск, на което конкретната заплаха излага бизнеса. След това това уравнение може да се използва за генериране на метрика, чрез която CISO могат да съобщят на управителните съвети и регулаторните органи за нивото на риска.
Гривсън формулира идеята си за зрял подход към управлението на киберриска по отношение на видимостта, приоритизирането, комуникацията и количественото определяне, като твърди, че всяко от тях е жизненоважно за получаване на цялостна представа за заплахите, пред които е изправена организацията.
„Идентифицирайте риска. Приоритизиране на риска. Комуникирайте риска с управителния съвет на разбираем за тях език, за да могат да разпределят правилните ресурси, пари и възможности, а след това трябва да въведете план за намаляване на риска. Но накрая мисля, че истински важното нещо е да го измерите.“
Според Гривсън способността да се преобразува рискът в абстрактен смисъл в смилаема метрика е от съществено значение, ако искате ефективно да комуникирате киберриска като общ бизнес риск, както и за разбирането на въздействието на мерките за смекчаване върху тази експозиция.
„Къде ще бъде киберрискът [на организацията] днес? Къде ще бъде той, когато въведете смекчаващи контроли или ако намалите или елиминирате риска? Ако не го измервате, той е неизвестен. Това е способността да се уверите, че знаете какво гледате.“
Гривсън заяви, че това разбиране за киберриска не се развива достатъчно бързо в сравнение със скоростта на промените, които настъпват в пейзажа на заплахите, но предположи, че новите регулаторни задължения на предприятията допълнително подтикват ръководителите да се съсредоточат върху получаването на по-ясна представа за това какви киберрискове имат.
„Не се развива достатъчно бързо, но това, което според мен ще доведе до тази промяна, са навлизащите регулации. Знаете, че е необходимо да се докладва своевременно. Необходимост да разберете въздействието и вероятността от това, което трябва да докладвате на регулатора.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.